在安全社區(qū)，或者廣義上講當(dāng)代人類信息社會(huì)中，一直存在一個(gè)問題。問題就是：我們一直將安全看作是一種技術(shù)、策略、隱私，或者人力問題，而不是一個(gè)綜合集成的組合。無論如何，盡管我們制定了諸多的標(biāo)準(zhǔn)、法律，創(chuàng)造了最佳范例，嘗過了經(jīng)驗(yàn)教訓(xùn)，也產(chǎn)生了新技術(shù)，我們卻一直在踐行深度防御上走在了錯(cuò)誤的道路上。

我們?nèi)匀粚踩暈镮T問題，依然把風(fēng)險(xiǎn)和合規(guī)當(dāng)成日常文書工作。我們的整個(gè)組織中缺乏真正的安全氛圍。我們?nèi)耘f認(rèn)為有入侵檢測(cè)系統(tǒng)(IDS)、安全信息和事件管理(SIEM)和反病毒軟件就夠了。我們還覺得審計(jì)、合規(guī)和運(yùn)營(yíng)中心分層的服務(wù)臺(tái)方法就是深度防御的全部，尤其這些工作都處于一種各自為政的企業(yè)文化下。

如果我們真心想改善今天的安全狀況，就要采取措施改變?nèi)藗兛创⒍x和處理這些安全問題的態(tài)度和方法。下面的十種方法，可以幫助改善我們的分層防御策略：

1. 設(shè)立首席安全風(fēng)險(xiǎn)官(CSRO)職位

應(yīng)當(dāng)設(shè)立CSRO職位，作為公司負(fù)責(zé)所有安全和風(fēng)險(xiǎn)事務(wù)的獨(dú)立首腦，直接向CEO、董事會(huì)和政務(wù)官員等匯報(bào)。

涉及內(nèi)容可能包括突發(fā)事件、人身安全和物理安全問題、隱私問題，以及網(wǎng)絡(luò)安全問題。傳統(tǒng)的首席信息安全官(CISO)、首席安全官(CSO)、副首席信息官(deputy CIO)或安全總監(jiān)在當(dāng)前態(tài)勢(shì)下已經(jīng)不能發(fā)揮效用。這一角色不應(yīng)歸為首席財(cái)務(wù)官(CFO)、首席運(yùn)營(yíng)官(COO)、首席信息官(CIO)和首席技術(shù)官(CTO)的下屬，但可以代替CISO、CSO和首席風(fēng)險(xiǎn)官(CRO)之類的角色。

2. 組建CSRO團(tuán)隊(duì)

我們應(yīng)當(dāng)組建一支在首席安全風(fēng)險(xiǎn)官(CSRO)及其副手領(lǐng)導(dǎo)下的權(quán)威的跨職能團(tuán)隊(duì)，作為公司所有安全和風(fēng)險(xiǎn)問題決策、響應(yīng)協(xié)調(diào)、問責(zé)、領(lǐng)導(dǎo)和策略實(shí)施的唯一權(quán)威機(jī)構(gòu)。

這一團(tuán)隊(duì)至少每周要有一次例會(huì)，還得有細(xì)致恰當(dāng)?shù)恼鲁檀_保每名團(tuán)隊(duì)成員都對(duì)團(tuán)隊(duì)有投票權(quán)，并且獲得組織內(nèi)部最高層的書面授權(quán)。團(tuán)隊(duì)?wèi)?yīng)當(dāng)也必須包含至少下列類型的主題專家(SME)成員：

高級(jí)IT安全SMEs

高級(jí)法律顧問代表

高級(jí)隱私官

高級(jí)人力資源代表。

高級(jí)審計(jì)和財(cái)務(wù)代表(來自組織內(nèi)部的CFO/COO部門)

高級(jí)物理安全和人身安全經(jīng)理/SME

高級(jí)項(xiàng)目經(jīng)理和運(yùn)營(yíng)管理代表

高級(jí)技術(shù)工程師

合適的業(yè)務(wù)領(lǐng)域/數(shù)據(jù)/信息/系統(tǒng)業(yè)主(根據(jù)需要)

關(guān)鍵外部合伙人、供應(yīng)商和客戶利益相關(guān)者(根據(jù)需要)

3. 采用積極防御戰(zhàn)略

總體戰(zhàn)略中必須包含以積極防御的形式呈現(xiàn)的攻擊性元素。這不是說需要直接攻擊那些假想敵。不過，確實(shí)需要蜜罐、無惡意的木馬和其他方法去研究攻擊者，獲取可信的特征，增加威懾力或使敵對(duì)方的努力化為泡影也是可行且應(yīng)該采用的方法。此外，直接攻擊應(yīng)該留給現(xiàn)實(shí)世界中有既有管轄權(quán)的家伙們干，比如軍隊(duì)、情報(bào)機(jī)構(gòu)和執(zhí)法部門。

4. 實(shí)施深度防御

開放系統(tǒng)互連(OSI)模型的全部層級(jí)，加上人員層，都必須納入組織的深度防御方法中來。

比如，網(wǎng)絡(luò)級(jí)入侵檢測(cè)系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS)、網(wǎng)頁(yè)內(nèi)容過濾、網(wǎng)站應(yīng)用防火墻、惡意軟件分析工具、漏洞分析工具、帶數(shù)據(jù)泄露防護(hù)(DLP)的主機(jī)級(jí)IPS、電子取證工具、閑時(shí)加解密，以及傳輸工具、巡回工具、SIEM和機(jī)器數(shù)據(jù)挖掘工具等，從應(yīng)用層防護(hù)直到物理層防護(hù)都應(yīng)該裝上。手機(jī)應(yīng)用和數(shù)據(jù)安全，帶服務(wù)等級(jí)協(xié)議(SLA)的云安全和無線保護(hù)也應(yīng)該包括進(jìn)來。

5. 及時(shí)調(diào)整

通過每日、每周、每月的調(diào)整提升安全基準(zhǔn)是必要的。在經(jīng)常使用的基礎(chǔ)上學(xué)習(xí)輕量級(jí)目錄訪問協(xié)議(LDAP)、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)、域名服務(wù)系統(tǒng)(DNS)、超文本傳輸協(xié)議(HTTP)和其他你網(wǎng)絡(luò)中出現(xiàn)的流量。觀察管理員帳戶行為，知曉你的訪問控制實(shí)踐，而不僅僅是寫在紙上的章程。另外，為需要或要求各種不同類型軟件的業(yè)務(wù)單位建立起一套請(qǐng)求流程和變動(dòng)控制程序。

保證安全測(cè)試、評(píng)估和分析，檢測(cè)與鎖定部署在組織內(nèi)部資產(chǎn)上的主機(jī)鏡像以預(yù)防用戶安裝未經(jīng)授權(quán)的軟件。鎖定特定組織里非正常行為遠(yuǎn)比對(duì)著長(zhǎng)長(zhǎng)的信息技術(shù)基礎(chǔ)設(shè)施庫(kù)(ITIL)故障清單去處理儀表板上彈出的一個(gè)個(gè)IDS/IPS和SIEM警告要簡(jiǎn)單得多。

事實(shí)上，全部資源投入到研究組織內(nèi)部的動(dòng)態(tài)行為上遠(yuǎn)比浪費(fèi)在追逐警告和產(chǎn)生故障清單數(shù)據(jù)要好得多。

6. 用好白名單和黑名單

這需要定好基準(zhǔn)底線，但同樣需要主動(dòng)的全球惡意軟件分析。應(yīng)該從其他很多組織的事后報(bào)告中研究攻擊指示器、威脅情報(bào)和事件，而不僅僅局限于你所在的組織。然后，將研究成果應(yīng)用于組織中不斷發(fā)展的安全基準(zhǔn)中。

7. 建立漏洞管理和補(bǔ)丁管理程序

將網(wǎng)絡(luò)的所有部分——所有硬件、軟件和用戶組，打散嵌入到每日、每周、每?jī)芍芑蛎吭乱淮蔚娜蝿?wù)計(jì)劃表中。這樣一來，所有部分至少每90天就能被掃描一遍，給最新的漏洞打上補(bǔ)丁。

為每個(gè)部分建立一張聯(lián)系人列表，負(fù)責(zé)解決已發(fā)現(xiàn)的漏洞和失效的補(bǔ)丁。這樣至少可以創(chuàng)建一個(gè)將測(cè)試和彌補(bǔ)漏洞當(dāng)成常態(tài)的合作氛圍，而不僅僅是合規(guī)操作或?qū)徲?jì)等等。

8. 建立協(xié)同工作環(huán)境

將在辦公室里充分利用在線和虛擬滲透測(cè)試、惡意軟件分析和取證工具、網(wǎng)站、實(shí)驗(yàn)室等當(dāng)成常態(tài)，而不是例外情況。為你的團(tuán)隊(duì)建立一套每周在不同領(lǐng)域交叉培訓(xùn)的機(jī)制。

打造一支組織團(tuán)隊(duì)參與全球性的攻防競(jìng)賽和組織內(nèi)部的類似競(jìng)賽。建立內(nèi)部百科和培訓(xùn)課程，讓弟兄們可以每周或者每月互相學(xué)習(xí)。

這樣就能在預(yù)算不足以支持飛去參加各大會(huì)議和常規(guī)培訓(xùn)的時(shí)候也能讓你的現(xiàn)有員工繼續(xù)成長(zhǎng)了。最好的團(tuán)隊(duì)是成員間相互合作且能交叉培訓(xùn)共同成長(zhǎng)的團(tuán)隊(duì)。這對(duì)團(tuán)隊(duì)散布各地且各部門間職能分散的大型組織而言尤其重要。讓協(xié)同合作的文化成為常態(tài)，而不僅僅是一個(gè)小插曲。

9. 留出成長(zhǎng)和成功的機(jī)會(huì)

領(lǐng)導(dǎo)經(jīng)驗(yàn)、培訓(xùn)和首要與次要職責(zé)之間的位置轉(zhuǎn)換對(duì)個(gè)人而言通常很重要，而且長(zhǎng)期來看公司也是穩(wěn)賺不賠的。這一條實(shí)施起來與上面第8條類似，不過這一次，交叉訓(xùn)練要在非技術(shù)人員間展開。這將進(jìn)一步使你的技術(shù)人員和非技術(shù)人員在其他首要與次要職責(zé)領(lǐng)域進(jìn)行交叉培訓(xùn)以獲取新的技能，進(jìn)一步建立一種相互尊重、交叉提高和經(jīng)常性交流的協(xié)同合作氛圍。

10. 保持警醒

最后，即使你覺得萬事ok，至少應(yīng)該每年兩次雇外人實(shí)際地或者通過網(wǎng)絡(luò)對(duì)你的組織進(jìn)行評(píng)估、滲透和審計(jì)。這樣你的組織才會(huì)從門衛(wèi)到高層都保持警醒。

原文地址：http://www.aqniu.com/neo-points/7336.html